Cet article vous a plu?
0
Cet article vous a plu?
0

Web Analytics : protection des données des utilisateurs

L’analyse Web est devenue centrale dans le marketing digital. De nombreux administrateurs Web ont adopté des outils tels que Google Analytics, Piwik ou Kissmetrics qui permettent de comprendre comment un utilisateur se comporte sur un site Web. A partir de ces données, les professionnels du marketing tirent des leçons sur le fonctionnement de leur site et observent s’il est suffisamment intuitif et efficace pour leur processus commercial. Mais alors que l’utilisation de ces outils d’analyse coule de source pour les marketeurs, les défenseurs des droits des consommateurs tirent la sonnette d’alarme sur le sujet protection des données. Ce qui est au cœur du débat : il n’est pas toujours clair pour les clients de savoir quelles données sont récupérées et pour quel motif. Les points litigieux sont surtout le traitement des données personnelles avec lesquelles les profils utilisateurs sont établis et les informations qui peuvent en être déduites sur chacun des clients. Pourtant, des règles ont été établies. Suivant l’outil que vous utilisez, il sera peut-être nécessaire d’utiliser un code de programmation pour vous rendre conforme à la législation.

Mesure d’audience : cadre légal pour la protection des données

Comme l’explique notre article sur la politique de confidentialité sur Internet, vous êtes tenu en tant qu’administrateur de site de répondre aux exigences de la loi « informatique et liberté » pour préserver la sécurité des données de vos utilisateurs lorsque vous regroupez des informations les concernant. De même, les informations que vous pouvez recueillir grâce à des outils d’audience font l’objet de réglementations.

En principe, il n’y a rien a objecté à l’étude de l’activité de son site, à partir du moment où cela a été clairement expliqué aux consommateurs qui s’y aventurent et que ces derniers ont formellement donné leur accord. Comme l’informe la CNIL (Commission nationale de l'informatique et des libertés) :

« la loi impose désormais aux responsables de sites et aux fournisseurs de solutions d'informer les internautes et de recueillir leur consentement avant l'insertion de cookies ou autres traceurs ».

Mesure d’audience : les solutions de la CNIL pour protéger les données

La CNIL propose donc deux solutions pour pouvoir mener vos analyses Web en toute conformité, encadrant ainsi quelques exceptions à l’obligation de consentement de l’utilisateur. Cette exception est en effet établie pour l’utilisation de certains outils, comme notamment Piwik. Autrement, à l’utilisation d’un outil non conforme, le consentement de l’utilisateur s’impose (comme avec Google Analytics - voir plus bas).

Le problème : la plupart des outils de mesure d’audience ne sont pas conformes aux exigences de la CNIL pour entrer dans la catégorie des outils « dispensés de consentement ». En effet, ces derniers doivent faire l’objet de conditions précises et exigeantes, parmi lesquelles trois points significatifs :

  • Les données collectées ne doivent pas être recoupées avec d’autres traitements (fichiers clients ou statistiques de fréquentation d'autres sites par exemple).
  • Le cookie ne doit pas permettre de suivre la navigation de l’internaute sur d’autres sites.
  • L’adresse IP permettant de géolocaliser l’internaute ne doit pas être plus précise que l’échelle de la ville. Concrètement les deux derniers octets de l’adresse IP doivent être supprimés.

Vous pouvez retrouver les critères complets dans les solutions pour la mesure d’audience de la CNIL. Par ailleurs, s’il est possible de ne pas recueillir le consentement de l’utilisateur en respectant l’ensemble des conditions posées par la CNIL, il est impératif de lui donner la possibilité de s’opposer au suivi.

Remarque

Les dispositions de la CNIL sur l’exemption de consentement de l’utilisateur pour l’utilisation de certains cookies semblent plus souples que celles définies dans le « Paquet Télécom » défini par l’Union Européenne, ajoutant de la confusion au sujet. La directive européenne manquant parfois de précision, les Etats membres jouissent en effet d’une certaine liberté de décision pour quelques dispositions. Vigilance néanmoins avant tout ! Ce sujet étant très houleux et faisant l’objet de nombreuses discussions, consultez régulièrement le site de la CNIL pour vous assurer que les dispositions n’ont pas changé et que vous êtes toujours conformes aux règles établies.

Utilisation des cookies et mesure d’audience : quels risques ?

Pour analyser votre trafic et mieux saisir le parcours des internautes sur votre site, des cookies (ou traceurs) sont installés par les outils de mesure d’audience. L’utilisation de ces cookies sont encadrés par la loi. Attention toutefois à ne pas mélanger tous les types de traceurs. Certains outils jugés techniquement nécessaires pour le service, comme pour les paniers d’achat ou la configuration de langues ne nécessitent pas de mesures spécifiques.

La directive 2009/136/CE de l’Union Européenne codifie les règles relatives à l’utilisation des traceurs et les obligations d’avertissement de leur utilisation. Depuis 2014, la CNIL a commencé activement à contrôlé les sites internet, les exposant à une éventuelle amende de 150 000 euros en cas de non-respect de la loi. Ainsi, la commission vérifie que l’accord des internautes est sollicité pour l’utilisation des cookies (tout du moins ceux visant à tracer leur comportement). De plus, la requête formulée au visiteur doit être répétée au moins tous les 13 mois.

Vous avez ainsi sûrement remarqué des barres d’informations sur la plupart des sites marchands (voire quasiment la totalité) visant à obtenir votre accord pour l’utilisation de cookies. On voit typiquement apparaître des bandeaux tels que : « En poursuivant votre navigation sur notre site, vous acceptez l'utilisation de cookies pour vous proposer des contenus personnalisés en fonction de vos centres d'intérêt et mesurer la fréquentation de nos services». Ce message doit pouvoir s’ensuivre d’un lien pour en savoir plus et ajuster ses paramètres.

Protection des données en Web analytics avec l’exemple de Google Analytics

Dans sa configuration standard, Google Analytics n’est pas conforme à la législation française sur ce qui concerne la protection des données des consommateurs. La CNIL mentionne noir sur blanc cet outil leader du marché en le prenant comme exemple type de programme devant s’ajuster pour répondre aux exigences légales. En effet, la législation américaine étant moins stricte sur la protection des données que celle appliquée dans l’Union Européenne et dans l’Hexagone, il est toujours recommandé d’agir avec prudence lorsque vous utilisez des logiciels ou solutions fournis par le géant de la Silicon Valley.

Toutefois, cette non-conformité n’implique pas que vous deviez vous débarrasser immédiatement de l’outil de Google. De simples ajustements peuvent en effet être effectués. Très simplement, il est nécessaire de bloquer les traceurs pour les visiteurs n’ayant pas encore donné leur accord. La CNIL stipule en effet noir sur blanc qu’il est nécessaire de « bloquer les cookies tant que vous n’avez pas obtenu le consentement utilisateur ». Google Analytics, conscient de ce problème et des différences de réglementation d’un pays à un autre, propose notamment des solutions, avec des extensions de codes pour permettre l’anonymisation et une fonction opt-out et des scripts permettant de désactiver les cookies. La CNIL résume avec le script suivant :

Cryptage Google Analytics Sécurité Protection des Données